PHP에서 utf-7 반영 xss 취약점을 방지하는 방법

yii1.1 프레임워크 사용

<code>        $req = Yii::app()->request;
        $purifier = new CHtmlPurifier();
        $purifier->options = array(
            'URI.AllowedSchemes'=>array(
                'http' => true,
                'https' => true,
            )
        );
            $url = $purifier->purify($req->getParam('url'));</code>

모든 매개변수는 purify를 사용하여 필터링됩니다. 하지만 아직 이런 허점이 있습니다. 해결 방법을 알려주십시오. 더 좋은 해방계획이 있을까요

답글 내용:

yii1.1 프레임워크 사용

<code>        $req = Yii::app()->request;
        $purifier = new CHtmlPurifier();
        $purifier->options = array(
            'URI.AllowedSchemes'=>array(
                'http' => true,
                'https' => true,
            )
        );
            $url = $purifier->purify($req->getParam('url'));</code>

모든 매개변수는 purify를 사용하여 필터링됩니다. 하지만 아직 이런 허점이 있습니다. 해결 방법을 알려주십시오. 더 좋은 해방계획이 있을까요

1 일반적인 xss 공격 태그를 필터링하는 사용자 정의 방법: script|iframe|image/Uis
2 구성 방향 고려 사항: 쿠키 획득을 금지하도록 httponly 설정
3 서비스 방향: SSL 프로토콜을 사용하고 외부 js 로드 금지